Arnaque CallPhantom sur Android

Par Mezo en Logiciels malveillants mobiles

Se traduisent par :

La campagne CallPhantom a révélé comment les cybercriminels exploitent la curiosité du public et la désinformation pour générer d'énormes profits grâce à des applications Android frauduleuses. Distribuées via le Google Play Store, ces 28 applications malveillantes prétendaient faussement pouvoir récupérer les journaux d'appels, les SMS et l'activité WhatsApp associés à n'importe quel numéro de téléphone. Avant leur suppression par Google, la campagne avait déjà cumulé plus de 7,3 millions de téléchargements.

Table des matières

Allégations impossibles déguisées en services légitimes

Chaque application du groupe CallPhantom proposait la même fonctionnalité trompeuse. Les utilisateurs étaient invités à saisir un numéro de téléphone, après quoi les applications étaient censées générer des historiques de communication complets, incluant les enregistrements d'appels, les SMS et les conversations WhatsApp.

D'un point de vue technique, ces affirmations étaient totalement impossibles. L'architecture de sécurité et d'autorisation d'Android empêche les applications d'accéder aux données de communication privées d'un autre utilisateur. Au lieu de récupérer des informations réelles, les applications affichaient des résultats falsifiés, générés à partir de numéros de téléphone codés en dur, de noms prédéfinis et d'horodatages aléatoires intégrés directement dans le code de l'application.

Les chercheurs ont identifié deux principaux modèles opérationnels utilisés tout au long de la campagne :

Un groupe d'applications affichait immédiatement des résultats factices et limités, puis exigeait un paiement pour débloquer le prétendu « historique complet ».
Un autre groupe collectait les adresses électroniques des utilisateurs, promettait de fournir des rapports détaillés par courriel et exigeait un paiement avant même que les résultats ne soient soi-disant envoyés.

Dans les deux cas, les victimes ont payé pour des données qui n'ont jamais existé.

Systèmes de paiement manipulateurs conçus pour éviter les remboursements

Les opérateurs de CallPhantom utilisaient plusieurs mécanismes de paiement pour maximiser leurs revenus tout en minimisant les risques de remboursement. Certaines transactions étaient traitées via l'infrastructure de facturation officielle de Google Play, ce qui offrait aux utilisateurs des possibilités limitées de contester les frais. Cependant, de nombreuses applications contournaient complètement la facturation de Google Play en redirigeant les victimes vers des applications de paiement UPI tierces ou des formulaires de paiement par carte intégrés.

Ces tactiques ont enfreint les règles de Google et considérablement compliqué le processus de remboursement pour les utilisateurs concernés. Certaines variantes offraient une plus grande flexibilité opérationnelle en récupérant dynamiquement les URL de paiement depuis les serveurs Firebase. Cela permettait aux attaquants de changer de compte de paiement à leur guise et rendait la détection automatisée par les systèmes de sécurité beaucoup plus difficile.

Une variante particulièrement trompeuse intégrait la manipulation psychologique à sa conception. Si un utilisateur tentait de fermer l'application sans finaliser le paiement, de fausses notifications apparaissaient, indiquant que les résultats de l'historique des appels demandés venaient d'être disponibles. Ces notifications avaient pour seul but d'inciter les utilisateurs à revenir et à finaliser le paiement.

Ciblage régional et risques financiers

La campagne ciblait principalement les utilisateurs en Inde et dans la région Asie-Pacifique. De nombreuses applications sélectionnaient automatiquement l'indicatif téléphonique indien (+91) afin de renforcer l'illusion de légitimité auprès des utilisateurs locaux. Les abonnements, proposés entre 5 € et 80 $ US environ, étaient disponibles avec des options de paiement hebdomadaires, mensuelles et annuelles.

Au-delà de la perte financière immédiate, les victimes qui ont saisi leurs informations de carte de paiement via des formulaires de paiement non officiels intégrés à l'application peuvent être confrontées à des risques supplémentaires, notamment des débits non autorisés ou une utilisation abusive de leurs données de paiement.

Comment CallPhantom a exploité la confiance sans autorisations dangereuses

L'un des aspects les plus marquants de l'opération CallPhantom résidait dans sa capacité à causer d'importants préjudices financiers sans exiger d'autorisations sensibles sur Android. L'escroquerie reposait entièrement sur l'ingénierie sociale plutôt que sur l'exploitation technique. Les utilisateurs étaient amenés à croire à des affirmations impossibles, à payer pour des informations falsifiées et à transférer de l'argent à leur insu via des plateformes de paiement peu sécurisées.

Bien que les campagnes comme CallPhantom soient relativement rares, la plupart des opérations cybercriminelles s'appuient fortement sur la peur, l'urgence ou la tromperie pour inciter les utilisateurs à télécharger des logiciels, à effectuer des achats ou à divulguer des informations sensibles.

Panneaux d’avertissement et mesures de protection

Toutes les applications CallPhantom identifiées étaient distribuées via le Google Play Store officiel sous des noms trompeurs, avec des descriptions falsifiées et des évaluations artificiellement gonflées afin de paraître fiables. Bien que Google ait supprimé ces applications, les appareils qui les avaient installées avant leur suppression peuvent encore contenir le logiciel.

Les pratiques de sécurité suivantes peuvent contribuer à réduire l'exposition à des escroqueries similaires :

Vérifiez régulièrement les applications installées et supprimez tout logiciel associé à des allégations suspectes ou à des développeurs inconnus.
Téléchargez les applications uniquement depuis des sources fiables telles que le Google Play Store ou les sites web de développeurs vérifiés, tout en évaluant de manière critique les avis qui semblent excessivement vagues ou uniformément positifs.
Considérez par défaut comme frauduleuse toute application prétendant accéder aux communications privées, à l'historique de localisation ou aux relevés d'appels d'une autre personne.
Maintenez à jour vos systèmes d'exploitation mobiles et utilisez des solutions de sécurité mobile réputées pour améliorer votre protection contre les menaces émergentes.

Un rappel clair concernant la fraude mobile

La campagne CallPhantom nous rappelle avec force que les applications frauduleuses ne s'appuient pas toujours sur des logiciels malveillants ou des failles de sécurité sophistiquées pour réussir. Bien souvent, la manipulation psychologique suffit à générer des millions de téléchargements et des pertes financières considérables. Toute application promettant un accès non autorisé aux données privées d'autrui doit être immédiatement considérée comme illégitime et potentiellement dangereuse.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Arnaque CallPhantom sur Android

Allégations impossibles déguisées en services légitimes

Systèmes de paiement manipulateurs conçus pour éviter les remboursements

Ciblage régional et risques financiers

Comment CallPhantom a exploité la confiance sans autorisations dangereuses

Panneaux d’avertissement et mesures de protection

Un rappel clair concernant la fraude mobile

Soumettre un Commentaire

Tendance

Mise à jour de sécurité pour reconnaître les...

Arnaque aux récompenses de vote Stacks (STX)

Aztcsearch.com

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Eporner.com